虚拟化实施绝不是一个一蹴而就的过程。

　　尽管服务器虚拟化可以提高IT部门的效率和成本效益，但虚拟化同样会带来许多新的挑战。因此，如果数据中心在实施虚拟化之后，仍然依靠那些非虚拟化时代的技术和流程，那么虚拟化的诸多优势便无法实现。

　　下面，我们将探讨三个由虚拟化引出来的新课题，即对虚拟化对存储系统的冲击、虚拟机大量滋生的问题，以及虚拟世界的安全话题。

　　改造你的存储

　　Taneja集团的分析师Arun Taneja认为，如果在对服务器进行虚拟化之前未针对虚拟机的独特需求对物理存储系统进行调整，这对于任何虚拟化项目都将是一个”死亡之吻”。

　　除了将五种或十种应用整合到单台服务器上，VMware等厂商提供的虚拟化工具还可以做一些”神奇的事情”，例如将负载在服务器之间随意迁移，并且为了灾难恢复的目地对虚拟机进行复制。然而，所有这一切都需要使用一个更大的存储缓存空间。就算在多数情况下该空间都处于不使用状态，预留这样的空间也是必不可少的。

　　Taneja说，在过去，VMware只是建议客户将存储容量提高一倍。如果说客户对存储系统的使用率为40%，那么进入虚拟化世界后，使用率降至20%，而存储的效率也会减半。

　　解决该问题的关键是使用自动精简配置（thin provisioning）技术，该技术是通过存储虚拟化实现的。物理存储通常将一个存储卷只分配给一项应用，如果该应用不使用所有的存储容量，则这些容量将处于闲置状态。而自动精简配置技术可以为应用预先分配比实际可用容量更大的存储容量，使应用能够共享存储池，并且只在需要时使用所需的容量。

　　Taneja说，利用新版本的VMware虚拟化软件和3Par（刚被惠普收购）、NetApp和Compellent等存储厂商提供的此类技术，客户可以将存储利用率提高至80%。

　　尽管自动精简配置可以解决使用率的问题，但它无法应对可怕的”I/O混合器效应”（I/O blender effect）：当一台物理服务器上不断地添加新的虚拟机时，服务器和连接的系统必须应对更多的I/O负载，而且，由于I/O操作的顺序是随机的，因此很可能损害每项应用的性能。

　　Taneja表示，”宽条带化”（wide striping）技术是解决这一问题的关键方法之一。该技术可以将I/O负载分配到许多磁盘上，而不是一个或少数几个磁盘上。这有助于消除同一物理服务器上驻留多台虚拟机时造成的存储瓶颈，因此可以实现更高的虚拟机密度。

　　”当出现虚拟化导致的数据访问问题时，存储行业便会成为众矢之的，但在过去的12个月中，这一领域已经取得了很大的进步。” Taneja说道。虽然3Par和康贝（Compellent）处于这一领域的前沿，但EMC和日立数据（HDS）等老牌厂商也不甘落后，已经通过固件升级的方式将部分存储虚拟化融合到了现有的产品线中。

　　目前，美国马萨诸塞州的Brandeis大学已经使用VMware和Xen将几乎所有的负载虚拟化。该校的网络及系统主管John Turner表示，他选用康贝存储系统很大程度上是因为它具备自动精简配置特性和快照技术，这些技术可以大幅减少存储虚拟机文件所需要的数据量。

　　Turner说：”存储是虚拟化中的一项巨大负担。”

　　如何防止虚拟机大量滋生？

　　虚拟机滋生的实际情况就是如此：虚拟基础设施中可能滋生出太多的虚拟机，这些虚拟机即使很少使用也会占用大量处理能力和存储空间。由于建立一台虚拟机只需要几分钟的时间，因此用户在需要时会毫不犹豫地建立新的虚拟机。

　　但这并不一定就是一件坏事。IT部门存在的意义就是为业务用户提供服务，只要用户在需要时提出请求，无论如何都是合理的。

　　Turner说：”每个人提出的都是合理的请求。IT部门面临的挑战是，我们怎么要求让用户为了顾全大局而放弃这种合理的资源请求呢？”

　　Turner指出，虚拟机的滋生不仅关系到存储和网络资源的占用，还增大了管理成本–每新增一台虚拟机，IT部门的工作人员就必须从挤出一部分时间来管理这些虚拟机。

　　Sabre Holdings是一家从事在线旅游业务的公司，总部设在美国德克萨斯州的Southlake。该公司的测试和开发实验室中有约2000台虚拟机，另外还有100台虚拟机用于生产性业务。Sabre公司首席基础设施设计师Glenn Harper表示其开发实验室中确实存在虚拟机滋生的现象。Harper及其IT部门同事的工作重点一直是为开发人员提供新的功能，但现在他们正在计划在内部部署虚拟机收费和容量管理产品，以便确定哪些虚拟机是可以关闭的。

　　在小型的虚拟化部署中，只需要与开发人员约谈几次便完全可以解决问题，但当虚拟机的数量达到2000台的水平时，问题就没有那么简单了。

　　Harper说：”仅凭个人的力量不可能将这些虚拟机梳理清楚，更不可能在工作时间内完成这一任务。”

　　Turner说，他并不喜欢内部计费系统，”因为它们会制造人为的障碍”，但该公司确实在使用VMware的管理工具来监视虚拟机的占用率，并认为让用户明白虚拟机的运行成本非常重要。在某些情况下，如果某位员工或用户希望建立一台新的虚拟机，Turner可能会与他讨价还价，建议员工同时关闭一台使用率较低的老虚拟机。

　　他说：”我们试图让员工明白，使用虚拟机会产生实际的成本。我们想要明确表达的是，这并不是人力资源方面的问题。管理800台虚拟机和管理400台虚拟机完全是两个概念。这不是工作量加倍的问题，工作量会远远超出原来的两倍。有一天，您的人力资源会面临枯竭而无法应对数量如此巨大的虚拟机，到那时，风险便会逐步增加。”

　　安全是恒久话题

　　”虚拟化并不是天生不安全的。然而，多数虚拟后的负载部署的方式是不安全的。”

　　这是Gartner分析师Neil MacDonald今年早些时候在一份名为《解决数据中心虚拟化项目中最常见的安全风险》（Addressing the Most Common Security Risks in Data Center Virtualization Projects）的报告中写道的。

　　在虚拟化项目的规划过程中，必须将信息安全团队也包含进来，但根据Gartner的调查数据，约有40%的虚拟化项目在初期架构和规划阶段中都没有安全团队的参与。

　　MacDonald指出，由于Hypervisor（虚拟机管理程序）可以监督物理服务器上运行的所有负载，因此一种威胁”可能会使所有的托管负载受到损害”。在传统的架构中，对一台服务器的威胁只会使该服务器上的负载蒙受风险，但在虚拟数据中心中，情况就完全不同了。

　　Hypervisor本身也增加了一个攻击层面。例如，VMware正在改造其虚拟化架构，使之摆脱一种基于Linux的服务控制台，从而将攻击的层面从约2GB减少至100MB。

　　虽然有了如此的改进，但客户在安全问题上的担忧仍然不少。Gartner建议用户应从安全和管理的角度上将虚拟化平台当作数据中心内最重要的IT平台来对待。

　　Gartner认为，IT部门需要建立有关不同信任级别的负载整合方面的多种策略，并且在评价安全和管理工具时，应”侧重那些在扩展物理和虚拟环境时，管理、策略和报告框架也会随之扩展的工具”。

　　该报告还指出，IT部门必须关注Hypervisor中所安装的任何代码可能存在的漏洞，其中还包括驱动程序、插件和第三方工具，只有这样才能让系统时刻处于最新状态并具备最新的补丁。

　　即使虚拟化层和以前的物理架构同样安全，虚拟机数量不断增加的趋势也意味着您的”足迹”（footprint）会变得更大。Turner指出：”当足迹变得越来越大时，您面临的安全风险也会随之增长。”

　　Turner目前正在研究几种系统管理工具，例如Cfengine、Puppet Labs和Chef，目的是实现补丁验证、删除过期用户账户等过程的自动化，并且确保配置文件不会受到篡改。

　　在服务器虚拟化之后，即使像运行杀毒软件之类的相对简单任务也可能变得更加复杂。

　　Harper指出，他的员工必须手工修改每周扫瞄Windows Server实例的时间，因为如果不这样，这些扫瞄会同时启动并导致过高的I/O负载。

　　Harper说，客户需要新产品和流程的组合，只有这样才能防止虚拟化过程中的各种麻烦，因为以管理传统物理裸机的方式来管理虚拟机根本就是行不通的。

　　然而，Harper和Sabre公司高级IT专家Jim Brewster都对虚拟世界的安全性前景表示乐观。Brewster说，安全区的物理隔离已经让位于基于软件的安全区，而且虚拟管理工具可能使心怀不轨的IT管理员更难以在不被日志记录的情况下篡改系统。

　　微软和VMware曾争论过操作系统中可以有多少个进程，以及应将多少个进程推向Hypervisor。但Brewster等人希望的是将安全功能引入监视程序。

　　Brewster说：”我认为这样可以实现更高的可视性和更强的控制能力，并且了解虚拟机空间中究竟是谁在和谁对话。”